Những kẻ drainer Web3: cách hoạt động của chúng và tại sao chữ ký của bạn là chìa khóa chính để bị trộm cắp

Hàng ngày trong Web3 xảy ra hàng nghìn vụ trộm cắp, và phần lớn nạn nhân thậm chí không hiểu rõ chuyện gì đã xảy ra. Dreyner không phải là hiện tượng mới, nhưng ngày càng trở nên tinh vi hơn. Đây là hợp đồng thông minh độc hại, lấy quyền truy cập vào tài sản của bạn không qua phishing hay trộm khóa riêng, mà qua một chữ ký đơn giản mà bạn cung cấp, nghĩ rằng bạn đang phê duyệt một giao dịch vô hại.

Nhiều người nghĩ rằng nếu không nhập seed phrase của mình thì sẽ an toàn. Đây là sai lầm. Dreyner hoạt động hoàn toàn khác — nó trông hợp pháp và ẩn sau các hành động quen thuộc trong ví của bạn.

Dreyner là gì và làm thế nào nó lấy cắp tài sản của bạn

Dreyner là hợp đồng thông minh giả dạng như một thao tác bình thường. Khi bạn nhấn “Ký” hoặc “Phê duyệt”, bạn cấp quyền cho nó thực hiện các hành động thay mặt bạn. Vấn đề là bạn thường không thấy rõ chính xác bạn đang ký gì trong chi tiết giao dịch.

Chỉ một lần nhấn là có toàn quyền truy cập. Và điều này không thể hủy bỏ đơn giản bằng cách “thu hồi” — dreyner có thể tiếp tục hoạt động nếu bạn còn đủ ETH để trả phí.

Các phương pháp tinh vi: bốn cách dreyner làm rỗng ví của bạn

Các cuộc tấn công diễn ra theo nhiều kịch bản khác nhau. Thứ nhất — “phê duyệt không giới hạn”, khi bạn được đề nghị quyền truy cập không giới hạn vào token của mình để đổi token. Dreyner nhận toàn quyền và có thể lấy đi mọi thứ nó muốn.

Cách thứ hai — “chuyển tiền bí mật”. Bạn nghĩ mình đang tham gia farming hoặc swap, nhưng thực ra bạn đang ký phép rút tiền mà không xác nhận rõ ràng từng thao tác.

Cách thứ ba — giả dạng “tạo NFT”. Dreyner mô phỏng quá trình minting, nhưng thực chất là rút sạch số dư của bạn.

Cách thứ tư — giả mạo “kiểm tra ví”. Bạn được yêu cầu ký một tin nhắn để xác thực, nhưng thực ra đó là lệnh ẩn, cho phép truy cập vào tài sản của bạn.

Làm thế nào để không trở thành nạn nhân: các quy tắc an toàn thực tế

Không bao giờ ký giao dịch nếu bạn hoàn toàn không hiểu rõ nội dung trong đó. Kiểm tra kỹ chi tiết của từng thao tác, đặc biệt là các giá trị “spender” và “amount” trong dòng phê duyệt.

Đừng tin vào các trang web và liên kết không xuất hiện trong Twitter chính thức của dự án, Discord hoặc whitepaper. Dreyner thường lây lan qua các tài khoản mạng xã hội giả mạo và các kênh Discord giả mạo.

Luôn xác nhận rằng bạn thực sự đang thực hiện thao tác đổi hoặc gửi — chứ không phải cấp quyền truy cập không giới hạn. Giai đoạn “Kiểm tra giao dịch” không phải là thủ tục hình thức, mà là lớp bảo vệ của bạn.

Không giữ tất cả trong một ví duy nhất. Sử dụng ví riêng cho farming và thử nghiệm các protocol mới. Như vậy, ngay cả khi dreyner xâm nhập, tài sản chính của bạn vẫn an toàn.

Các công cụ bảo vệ: từ Revoke.cash đến ví phần cứng

Revoke.cash là dịch vụ miễn phí giúp hủy các quyền phê duyệt cũ và ngay lập tức chặn hoạt động của dreyner. Kiểm tra xem bạn có quyền phê duyệt nào đã cấp từ lâu chưa.

Wallet Guard và các tiện ích mở rộng trình duyệt khác cung cấp bảo vệ thời gian thực, cảnh báo về các hợp đồng đáng ngờ trước khi bạn ký.

Ví phần cứng (Ledger, Trezor) yêu cầu xác nhận vật lý cho từng thao tác trên thiết bị, làm cho dreyner không thể tự ý rút sạch ví của bạn mà không có sự đồng ý của bạn.

Chữ ký của bạn trong Web3 không chỉ là một cú nhấp chuột. Đó là chìa khóa mở quyền truy cập vào tiền mã hóa và NFT của bạn. Mỗi lần bạn cấp phép cho một thao tác, bạn đang trao quyền cho ai đó kiểm soát tài sản của mình. Hãy cẩn thận. Kiểm tra kỹ. Và nhớ rằng: một cú nhấp sai có thể khiến bạn mất tất cả.